OSX Proton

osx

OSX Proton olarak bilinen oldukça güçlü bir zararlı yazılım, bilgisayar korsanları tarafından tekrar kullanılmaya başlandı.

Bilgisayar korsanları bir yazılım geliştiricisi olan Eltima’nın sunucularını hacklemeyi başardı. Daha sonra Apple kullanıcıları arasında oldukça popüler olan Eltima Player ve Folx uygulamalarına zararlı yazılım yerleştirdiler.

Zararlı yazılımın yerleştirildiği bu iki uygulama Apple kullanıcıları tarafından indirildiğinde kurbanların cihazlarına OSX Proton bulaşmış oluyor. Bahsi geçen zararlı yazılım esasen veri çalma ve izleme yeteneklerine sahip bir backdoor. OSX Proton kurbanlara ait çerezleri, web geçmişini, yer imlerini, saat dilimini, giriş verilerini, şifreleme yöntemlerini, MacOS keychain verilerini, SSH kimlik doğrulama anahtarlarını, 1Password verilerini, PGP şifreleme anahtarlarını ve daha birçok kişisel veriyi çalabiliyor.

Saldırıyı ortaya çıkaran ESET güvenlik araştırmacılarına göre, bilgisayar korsanları Eltima’ya erişimi 19 Ekim günü sağladı fakat ESET araştırmacıları tarafından hızlıca fark edildiler ve Eltima’ya konu ile ilgili bilgilendirme yapıldı.

Bir Eltima sözcüsünün ZDNet’e yaptığı açıklamaya göre bilgisayar korsanları Eltima sunucularında bulunan tiny_mce JavaScript kütüphanesindeki güvenlik açığını kullandı ve bu sayede resmi yazılımların içerisine zararlı yazılım yerleştirdiler.

RAT (remote-access-trojan) bulaşmış uygulamalar 24 saat boyunca aktifti. Bu 24 saat içerisinde yaklaşık 1000 kullanıcının zararlı yazılım içeren Eltima uygulamalarını indirdiği düşünülüyor.

ESET araştırmacılarının açıklamasına göre Eltima yazılımlarını 19 Ekim 3:15pm EDT öncesinde indirdiyseniz ve çalıştırdıysanız muhtemelen saldırıdan etkilendiniz. Bilindiği kadarıyla sadece Eltima’nın resmi web sitesindeki uygulama sürümü zararlı yazılım içeriyor.

OSX Proton’dan etkilenmiş kullanıcıların zararlı yazılımdan kurtulmalarının tek yolu işletim sistemini en baştan kurmak.